WordPress Business Reviews插件漏洞CVE-2025-7327

Business Reviews 插件能在WordPress网站页面、帖子或小部件以列表或网格视图显示Google商业评论和评分：Google地点评论和评分。

Business Reviews 插件将评论保存在WordPress数据库中，因此在网站上显示Google评论无需依赖任何服务，也没有任何加载时间问题。

一、基本情况

Business Reviews 插件是一款谷歌评论小部件，通过使用插件用户可以显示自己的Google商业评论、Facebook评论和推荐以及Yelp评论。

栋科技漏洞库关注到WordPress的Business Reviews插件受影响版本易通过布局参数目录遍历，追踪为CVE-2025-7327，CVSS评分8.8。

二、漏洞分析

CVE-2025-7327漏洞影响WordPress的Business Reviews件即WordPress Widget for Google Reviews插件，包括1.0.15在内的所有版本。

该漏洞使得拥有用户级及以上访问权限经过身份验证的攻击者能够在服务器上包含和执行任意文件，允许在这些文件中执行任何PHP代码。

而在可以上传和包含图像和其他“安全”文件类型的情况下，该漏洞可用于绕过访问控制、获取敏感数据或实现代码执行，仅限于PHP文件。

三、影响范围    

Business Reviews <= 1.0.15

四、修复建议

Business Reviews > 1.0.16

五、参考链接

https://cn.wordpress.org/plugins/business-reviews-wp/

管理员已设置登录后刷新可查看